TECHTARGET

Windows Driver Signature Enforcement sotto attacco hacker

Gli esperti della sicurezza hanno dimostrato come una nuova tecnica di attacco senza file può bypassare la protezione del kernel di Windows nel corso di un evento Black Hat. Anche se si è trattato di un POC, meglio sapere come funziona

Pubblicato il 05 Apr 2019

Windows Driver Signature Enforcement

Windows Driver Signature Enforcement è una funzionalità di protezione del kernel di Windows. Ma anche questa forma di sicurezza ha una falla. E così, anche se si è trattato solo di un proof of concept condotto dal team di sicurezza di una società di gaming (Endgame) nel corso di un evento Black Hat, la nuova tecnica di attacco fileless ha fatto notizia.

Attacchi fileless e land attack

Intanto è necessaria una premessa: un attacco fileless spesso non è davvero fileless. Il fatto che il malware fileless non coinvolga l’installazione di alcun file sull’hard disk e che gli antivirus tradizionali non siano in grado di rilevare la minaccia è solo una faccia della medaglia. L’altra faccia è che gli hacker possono usare le tecniche del land attack, andando a utilizzare le risorse e i tool presenti nativamente nel sistema operativo come strumenti di attacco. Dal momento che queste componenti generalmente non compaiono nelle whitelist dall’antivirus, succede così che passino facilmente inosservate, minando la sicurezza dall’interno.

Un equivoco sugli attacchi fileless è che un file debba essere necessariamente presente sul sistema locale affinché possa essere eseguito sull’endpoint. Ad esempio, Windows ha funzionalità integrate che consentono di eseguire o caricare un file sulla rete. Questo può avvenire anche se il file non è su un’unità mappata e questa funzionalità va a includere applicazioni importanti e legittime, compresa la gestione del software da una posizione centrale nonché la distribuzione di aggiornamenti software.

Windows Driver Signature Enforcement violato

La tecnica utilizzata nel POC ignora la funzionalità di protezione Windows Driver Signature Enforcement. Come viene sferrato l’attacco?

I ricercatori di sicurezza di Endgame hanno trovato un modo per caricare un driver Windows vulnerabile, utilizzando l’estensione del protocollo di Web Distributed Authoring e Versioning per HTTP da un sistema remoto.

Le versioni di Windows da Vista includono le protezioni dei criteri tramite Windows Driver Signature Enforcement, il che consente solo il caricamento dei driver certificati digitalmente (signed driver), proteggendo così il kernel di Windows. Una volta che gli attaccanti hanno ottenuto l’accesso al kernel, però, possono ignorare la maggior parte delle altre protezioni in esecuzione sul sistema.

Analogamente, alcuni driver firmati presentano vulnerabilità che consentono a un utente malintenzionato di accedere al kernel. I ricercatori di sicurezza di Endgame hanno utilizzato una vulnerabilità presente in un driver per eseguire codice sull’endpoint e così riuscire a caricare il malware nel kernel, riuscendo a prendere il pieno possesso del dispositivo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4